Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan Agen Penilaian Tingkat Prioritas untuk menyelidiki pemberitahuan

Didukung di:

SecOps Google

Agen Triase adalah asisten investigasi berteknologi AI yang disematkan di Google Security Operations. Fitur ini menentukan apakah notifikasi adalah positif benar atau positif palsu, lalu memberikan penjelasan ringkas untuk penilaiannya.

Agen Triase menganalisis pemberitahuan di Google SecOps menggunakan prinsip Mandiant dan praktik terbaik industri. Alat ini mengevaluasi pemberitahuan yang masuk, menjalankan rencana penyelidikan, dan memberikan analisis terstruktur yang mencakup temuan dan alasan.

Untuk mengetahui daftar izin IAM yang diperlukan untuk menggunakan Agen Penyelarasan, lihat Agen Penyelarasan.

Fitur investigasi

Agen menggunakan alat bawaan berikut untuk menyelesaikan analisisnya:

Kueri penelusuran dinamis: Menjalankan dan menyempurnakan penelusuran di SecOps untuk mengumpulkan konteks tambahan untuk pemberitahuan.
Pengayaan GTI: Memperkaya IoC dengan data Google Threat Intelligence (GTI), termasuk domain, URL, dan hash.
Analisis command line: Menganalisis command line untuk menjelaskan tindakan dalam bahasa alami.
Rekonstruksi hierarki proses: Menganalisis proses dalam pemberitahuan untuk menampilkan urutan lengkap aktivitas sistem terkait.

Memicu Agen Penilai Tingkat Prioritas

Anda dapat memicu Agen Triase secara otomatis atau manual. Setiap tenant dapat menjalankan hingga 10 penyelidikan per jam (5 manual dan 5 otomatis). Setiap penyelidikan biasanya selesai dalam waktu 3-5 menit dan berjalan maksimal selama 20 menit. Tidak ada antrean investigasi. Agen Triase tidak otomatis menganalisis pemberitahuan yang dibuat di luar batas.

Investigasi otomatis

Agen secara otomatis menyelidiki pemberitahuan yang berisi peristiwa dengan nilai metadata.log_type yang relevan.

Tabel berikut mencantumkan nilai metadata.log_type yang didukung dan sumbernya:

Sumber	`metadata.log_type` nilai
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`, `ELASTIC_EDR`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
Lainnya	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREwall`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.

Investigasi manual

Untuk menjalankan investigasi secara manual:

Di Google SecOps, buka halaman Alerts & IoCs.
Pilih pemberitahuan, lalu klik Jalankan Investigasi.

Anda juga dapat membuka pemberitahuan dalam kasus dan menjalankan penyelidikan untuk pemberitahuan tersebut. Banner akan diperbarui menjadi Lihat Investigasi setelah proses selesai. Anda dapat mengklik banner ini untuk melihat detail investigasi.

Membuka investigasi

Anda dapat mengakses penyelidikan yang lalu atau sedang berlangsung dari mana saja di Google SecOps.

Klik di antarmuka Google SecOps.
Klik di panel navigasi.
Klik keyboard_arrow_down di samping daftar penyelidikan untuk meluaskan panel.
Dalam daftar, pilih item untuk membuka hasil investigasi.

Setiap entri investigasi mencakup nama pemberitahuan, waktu penyelesaian, dan ringkasan investigasi Gemini. Jika peringatan yang sama diselidiki beberapa kali, setiap penyelidikan akan muncul sebagai entri terpisah dalam daftar penyelidikan.

Meninjau investigasi

Setiap penyelidikan terbuka dalam tampilan mendetail yang merangkum analisis Gemini, alasannya, dan data pendukung yang digunakannya.

Tampilan ini memiliki komponen berikut:

Ringkasan
Linimasa investigasi
Melihat pemberitahuan atau menjalankan ulang penyelidikan
Langkah selanjutnya yang disarankan
Masukan

Ringkasan

Di bagian atas panel, bagian Ringkasan oleh Gemini memberikan deskripsi singkat tentang pemberitahuan dan temuan investigasi.

Ringkasan memberikan informasi berikut:

Disposisi: Menunjukkan apakah Gemini menentukan bahwa pemberitahuan tersebut adalah positif asli atau palsu.
Tingkat keyakinan: Menjelaskan keyakinan Gemini dalam penilaiannya. Penilaian ini didasarkan pada data investigasi yang tersedia dan pemberitahuan.
Penjelasan ringkasan: Menjelaskan notifikasi dan cara Gemini mencapai kesimpulannya.

Linimasa investigasi

Setelah ringkasan, Linimasa investigasi menampilkan kartu, yang masing-masing mewakili langkah analisis yang dilakukan agen.

Setiap kartu mencakup:

Judul yang menjelaskan aktivitas analisis
Isi yang merangkum hasil penelusuran dan analisis Gemini
Link sumber ke data yang digunakan Gemini untuk langkah tersebut (misalnya, hasil GTI atau kueri penelusuran)

Melihat pemberitahuan atau menjalankan ulang penyelidikan

Panel investigasi memungkinkan Anda melakukan tindakan berikut:

Lihat pemberitahuan: Membuka detail pemberitahuan di tampilan SIEM Google SecOps.
Jalankan kembali penyelidikan: Menjalankan kembali analisis untuk pemberitahuan yang sama.

Langkah berikutnya yang disarankan

Untuk semua penyelidikan, Gemini memberikan langkah-langkah penyelidikan lebih lanjut. Langkah-langkah ini merekomendasikan tindakan atau sumber data tambahan untuk dieksplorasi oleh analis.

Saat agen diperbarui, saran ini dapat diperluas untuk menyertakan panduan perbaikan.

Masukan

Setiap penyelidikan mencakup ikon thumb_up Suka dan thumb_down Tidak Suka untuk mengumpulkan masukan. Fokuskan masukan Anda pada putusan tingkat keparahan karena hal ini membantu menyempurnakan klasifikasi ancaman Gemini.

Logging audit Cloud

Untuk mengaktifkan logging audit untuk Agen Triase:

Di konsol Google Google Cloud , buka IAM > Audit Logging.
Telusuri Chronicle API.
Di tab Permission Types pada panel Chronicle API, centang kotak Admin Read.

Lihat log audit

Untuk melihat log audit:

Di konsol Google Google Cloud , buka Monitoring > Logs Explorer.
Telusuri log yang ingin Anda lihat.
- Untuk melihat semua log audit Google SecOps, telusuri protoPayload.serviceName: "chronicle.googleapis.com".
- Untuk melihat hanya log Triage Agent, telusuri metode terkait.
  
  Misalnya, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" dan protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.